Защита данных
Доступ к серверам с использованием сертификатов
Сертификат, сохраненный в учетной записи, по сути представляет собой электронную печать, которая, подобно печати в паспорте, заверяет личность пользователя для сервера. Полученная исходно от администратора учетная запись содержит Сертификат Notes. Наряду с ней у пользователя могут быть и сертификаты Интернета. (Сертификаты Интернета иногда называются также сертификатами X.509.)
Чтобы просмотреть все сертификаты, находящиеся в учетной записи, выберите команду: Файл - Безопасность - Безопасность пользователя, откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
Что такое сертификаты Notes?
При попытке доступа к любому серверу Domino, будь то почтовый сервер или сервер отдела кадров организации, пользователю нужен сертификат, чтобы идентифицировать себя перед сервером, причем серверу тоже нужен сертификат, чтобы эту идентификацию провести.
Начиная с версии 5 для сертификатов Notes используются составные имена, неотъемлемой частью которых является имя агентства сертификации (АС). (Агентство сертификации - это служба, создающая сертификаты и выдающая их пользователям.) Сертификат выглядит примерно так: "Petr Ivanov/ACME", где "Petr Ivanov" - имя пользователя, а "ACME" - имя АС.
В учетную запись могут входить следующие три типа сертификатов Notes.
- Многоцелевые сертификаты Notes покрывают большинство нужд идентификации, включая вход в Notes и доступ к базам данных на серверах Domino. Многоцелевые сертификаты Notes обеспечивают достаточно мощный уровень шифрования, что, в частности, гарантирует высокую защищенность почты, если она отправлена получателю с помощью его многоцелевого сертификата. Каждый сертификат содержит общий ключ, необходимый для подписывания и шифрования сообщений, имя АС, выдавшего сертификат, имя пользователя или сервера, которому сертификат был выдан, дату создания сертификата и срок его действия. Большинство пользователей применяют только многоцелевые сертификаты.
- Международные сертификаты Notes используются только для шифрования. Они позволяют отправлять зашифрованные сообщения владельцу сертификата всем, кто по тем или иным причинам не может использовать "сильное шифрование". В общем случае эти сертификаты не предназначены для личного пользования. В учетной записи всегда имеется международный сертификат, даже если он реально не используется.
- Простые сертификаты использовались в Notes версии 4.6 и более ранних; они нужны для доступа к серверам старых версий (предшествующих Release 5), применяющим такие сертификаты. Составных имен у простых сертификатов нет. Создать такой сертификат в Notes версии 5 или более поздней нельзя. Использовать простой сертификат в учетной записи в качестве сертификата для входа в Notes можно лишь в том случае, если этот сертификат уже был создан до обновления Notes на версию 5 или более позднюю.
Что такое сертификаты Интернета?
Сертификаты Интернета нужны для доступа к безопасным Web-узлам, таким как https://www.verisign.com, подключение к которым осуществляется по протоколу SSL, а также для шифрования и подписывания почты, отправляемой через Интернет. Обычно такие сертификаты хранятся в Web-браузере, например Netscape или Internet Explorer; однако их можно хранить и в учетной записи, что необходимо для их использования браузером и почтовыми средствами Notes. В сертификатах Интернета часто содержатся адреса электронной почты. Поскольку имена сертификатов Интернета имеют значительную длину, Notes отображает адреса электронной почты в укороченном формате, что позволяет понять, кому сертификат принадлежит. Если адрес электронной почты недоступен, на экране отображается наиболее существенная часть имени сертификата Интернета. Например, сертификат имеет вид: CN=ACME Internet CA/O=ACME/S=MOSOCW/C=RU. Для этого сертификата на экране появится часть имени "ACME Internet CA".
Сертификаты Интернета рассматриваются Notes как многоцелевые сертификаты Интернета. В Notes этот тип сертификатов используется для доступа к безопасным Web-страницам с помощью браузера Notes, для отправки и получения зашифрованных сообщений в стандарте S/MIME, а также для безопасного подключения к службам Интернета по протоколу SSL.
В отличие от сертификатов Notes, один сертификат Интернета можно использовать для подписывания сообщений, а другой - для их шифрования.
Обновление сертификатов Notes перед истечением срока их действия
В учетную запись Notes всегда входят многоцелевой и международный сертификаты Notes. Срок их действия ограничен, и по его истечении сертификаты следует обновить. Если сертификат не обновить перед завершением срока действия, он становится недействительным. Запустить Notes с истекшим многоцелевым сертификатом можно, однако войти хотя бы на один сервер Notes при этом не удастся. В этом случае следует обратиться к администратору.
При обновлении сертификата изменяется только срок его действия. Общие и личные ключи сохраняются. Поскольку личные ключи не изменяются, администратор может обновлять сертификаты без вмешательства пользователя. Если он не обновит сертификаты автоматически, перед завершением срока их действия пользователю будет выдано предупреждение.
Чтобы определить срок действия сертификата, выберите команду: Файл - Безопасность - Безопасность пользователя (пользователи Macintosh OS: Notes - Security - User Security), откройте вкладку "Безопасность" и посмотрите в разделе "Личные данные" значение параметра "Срок действия файла учетной записи". Чтобы узнать срок действия сертификатов Интернета или простых сертификатов, в диалоговом окне "Безопасность пользователя" откройте вкладку "Идентификация", а затем - вкладку "Сертификаты", в раскрывающемся списке задайте нужный тип сертификатов, выберите сертификат и посмотрите значение, указанное для него в поле "Годен до".
Чтобы обновить сертификаты Notes
При отправке сертификата пользователь фактически отправляет защищенную копию учетной записи. Сведений, содержащихся в защищенной копии, достаточно для перезаверения учетной записи, но недостаточно для ее злонамеренного использования.
При любом обновлении своего сертификата не забудьте обновить все копии учетной записи (это не касается роуминг-пользователей, учетные записи которых реплицируются).
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Безопасность" и нажмите кнопку "Обновить" в разделе "Личные данные".
- Нажмите кнопку продолжить в окне "Подтверждение обновления".
- В поле "Кому" введите имя администратора Domino. Если это имя доступно, при подключении к сети оно само появится в поле "Кому". Чтобы найти его в справочнике Domino или личной адресной книге, нажмите кнопку "Адрес".
- Нажмите кнопку "Отправить".
- Процесс обновления завершается после того, как администратор ответил на запрос. Подготовленные администратором обновленные сертификаты либо приходят по почте (откройте почту и выберите команду: Действия - Принять сертификат), либо автоматически включаются в учетную запись при следующем входе в Notes. Удостоверившись, что обновленные сертификаты Notes попали в учетную запись, обновите все копии файла учетной записи.
Чтобы обновить сертификаты Notes с помощью гибкого диска или другой почтовой программы
Чтобы обновить сертификат Notes по почте или через гибкий диск, необходимо создать защищенную копию учетной записи и отправить ее администратору. Сведений, содержащихся в защищенной копии, достаточно для перезаверения учетной записи, но недостаточно для ее злонамеренного использования.
При любом обновлении своего сертификата убедитесь также в том, что обновлены все копии вашей учетной записи.
- Если используется гибкий диск, вставьте его в дисковод.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Безопасность" и нажмите кнопку "Обновить" в разделе "Личные данные".
- Нажмите кнопку "Экспорт учетной записи" в окне "Подтверждение обновления".
- Выберите папку на гибком диске или папку, к которой имеется доступ из почтовой программы, в окне "Имя защищенной копии учетной записи".
- Введите имя файла защищенной копии учетной записи пользователя в поле "Имя файла" (пользователи Macintosh - в поле "Save As"). По умолчанию он называется SAFE.ID
- Нажмите кнопку "Сохранить" и закройте окно "Подтверждение обновления".
- Передайте гибкий диск администратору Domino или вложите защищенную копию учетной записи в почтовое сообщение и отправьте его администратору.
- Получив диск обратно, необходимо импортировать обновленный сертификат в учетную запись.
Чтобы запросить новые простые сертификаты Notes
Чтобы получить новый простой сертификат, достаточно отправить соответствующий запрос администратору заверителя, использующего такие сертификаты. Простые сертификаты иногда нужны для доступа к старым серверам.
- Вставьте гибкий диск в дисковод.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
- Выберите команду: Получить сертификаты - Запросить новый простой сертификат Notes.
- Введите имя администратора Domino в поле "Кому" (для выбора из личной адресной книги нажмите кнопку "Адрес"). Если это имя доступно, при подключении к сети оно само появится в поле "Кому".
- Нажмите кнопку "Отправить".
- Когда администратор пришлет новый сертификат, откройте сообщение и выберите команду: Действия - Принять сертификат.
Запрос сертификатов Интернета
Сертификат Интернета можно запросить через администратора на сервере Domino или у другого поставщика. Вне зависимости от источника сертификата его можно будет использовать в Notes, только если запрос на него выполнен из браузера Notes. Сертификаты Интернета применяются для подписывания и шифрования сообщений, а также для безопасных подключений через Интернет.
Если сертификат Интернета получен с помощью другого браузера, например Netscape, необходимо экспортировать его из браузера, а затем импортировать сертификат Интернета обратно в Notes.
До истечения срока действия сертификат Интернета необходимо обновить тем же способом, каким он был получен изначально. Последний добавленный в учетную запись сертификат Интернета становится сертификатом, используемым по умолчанию для подписывания почты.
Получив сертификат Интернета, необходимо создать архивную копию учетной записи.
Чтобы запросить сертификат Интернета через администратора с сервера Domino
- Сообщите администратору о необходимости получить сертификат Интернета. Возможны следующие варианты.
- Администратор самостоятельно подает запрос на сертификат Интернета для вас. Как только сертификат будет получен и сохранен, Notes автоматически добавит его в вашу учетную запись при первом же подключении к основному серверу.
- Администратор сообщит вам адрес Интернета, который позволит запросить сертификат Интернета самостоятельно. Откройте указанный Web-узел в браузере Notes и выполните дальнейшие действия.
- Если отправленный администратором адрес представляет собой агентство сертификации (АС) Domino, прежде чем запросить сертификат Интернета, щелкните ссылку, позволяющую работать с агентством из браузера ("Accept This Authority In Your Browser").
- Нажмите кнопку "Установить сертификат" ("Install Certificate"). Подтвердите установку сертификата от АС Интернета.
- При появлении на экране окна "Перекрестный сертификат" нажмите кнопку "Перекрестно заверить". После появления сообщения об успешном завершении нажмите кнопку ОК. При этом в адресную книгу будут добавлены сертификат АС Domino и перекрестный сертификат для него.
- Вернитесь к исходному узлу, указанному администратором, и запросите сертификат клиента в соответствии с инструкциями, которые имеются в форме.
- Полученное от администратора сообщение будет включать уникальный номер, который потребуется, чтобы получить сертификат Интернета. Обязательно сохраните этот номер.
- В браузере Notes выполните инструкции, содержащиеся в сообщении администратора. Для получения сертификата Интернета необходим полученный ранее идентификационный номер.
После установки сертификат Интернета помещается в учетную запись.
Чтобы запросить сертификат Интернета у другого поставщика
При запросе сертификата Интернета с помощью окна "Безопасность пользователя" происходит автоматическое изменение параметров места вызова (как правило, это необходимо для настройки браузера Notes). В дальнейшем следует воздержаться от изменения настройки места вызова вплоть до завершения установки нового сертификата. По завершении установки сертификата в случае, если параметры места вызова были ранее изменены автоматически, на экран будет выведено напоминание о необходимости их заново проверить.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
- В правой части диалогового окна выберите команду: Получить сертификаты - Запросить новый сертификат Интернета.
- Введите в поле URL полный адрес агентства сертификации (АС), у которого необходимо запросить сертификат Интернета. Несколько таких адресов Notes предоставляет по умолчанию.
- (Необязательно.) Установите флажок "Не принимать решения о доверии, принимать все сертификаты Web-узлов (снижается безопасность)" Если этот флажок не установлен, не исключено получение запроса на создание перекрестных сертификатов для сертификатов Web-серверов, не являющихся доверенными.
- Нажмите кнопку "Открыть Web-страницу".
- Запросите сертификат клиента в соответствии с инструкциями на Web-узле.
- Если в личной адресной книге отсутствует перекрестный сертификат для АС, у которого запрашивается сертификат, может появиться сообщение об ошибке "Сертификат службы Интернета не является доверенным. Выполнить действия по исправлению (т.е. загрузить сертификат службы и решить, следует ли ему доверять)". Нажмите кнопку "Да", а затем - кнопку "Подключить". Нажмите кнопку "Перекрестно заверить", а получив сообщение об устранении всех проблем с доверием - кнопку ОК. Новый перекрестный сертификат Интернета будет помещен в личную адресную книгу. Обновите Web-страницу и продолжайте выполнение инструкций.
- Полученное от поставщика сообщение будет включать уникальный номер, который потребуется, чтобы получить сертификат Интернета. Обязательно сохраните этот номер.
- Чтобы получить сертификат клиента, в браузере Notes следуйте инструкциям, содержащимся в сообщении поставщика. Для получения сертификата Интернета необходим полученный ранее идентификационный номер.
После установки сертификат Интернета помещается в учетную запись.